Wirusy 10/2006 – Top 20

mareklSkomentuj
Wirusy 10/2006 – Top 20

obakami Mytob.c i Nyxem.e. Oba szkodniki nieustannie odbierały sobie punkty procentowe. Trudno powiedzieć, jak długo mogło to trwać – naturalnie, duża epidemia zmieniłaby sytuację, jednak w 2006 roku robaki pocztowe, stanowiące wcześniej plagę Internetu, należą już prawie do przeszłości. O wiele aktywniejsze są obecnie standardowe programy trojańskie i robaki sieciowe, które w celu rozprzestrzeniania się wykorzystują luki w systemie Windows (takie jak ta opisana w biuletynie MS06-040 Microsoftu).

Jednak w październiku w mgnieniu oka wszystko uległo zmianie. Na scenie pojawił się Warezov i wstrząsnął naszymi statystykami: z 20 najczęściej występujących we wrześniu złośliwych programów pozostało tylko 5. W październiku Warezov przyprawił o ból głowy firmy antywirusowe na całym świecie. Ogromnym wyzwaniem była dla nich wzmożona aktywność tego robaka pod koniec miesiąca, gdy w przeciągu 24 godzin pojawiało aż 20 nowych wariantów.

Efektem październikowego szaleństwa Warezova było wejście do rankingu jego 7 wariantów – tak udany debiut miał tylko Mytob. Warezov, we wszystkich swoich modyfikacjach, stanowił ponad 27% wszystkich złośliwych programów w ruchu pocztowym. Gdybyśmy uwzględniali rodziny, a nie poszczególne modyfikacje, Warezov okazałby się najbardziej rozpowszechnionym szkodnikiem w październiku. Warezov.dn zajmuje drugie miejsce na liście, a od lidera 2004 roku – robaka Netsky.q – dzielą go tylko dwa punkty procentowe. Robak ten powrócił na szczyt rankingu, trudno jednak powiedzieć, z czego to wynika; być może jest to początek nowego trendu lub po prostu jednorazowy wzrost aktywności, który kilkakrotnie obserwowaliśmy już wcześniej.

Warezov pod wieloma względami bardzo przypomina Bagla. Chociaż szkodnik ten opiera się na kodzie źródłowym robaka Mydoom.a, a kod Bagla był całkowicie oryginalny i został napisany przez nieznaną grupę twórców wirusów, uważamy, że robaki te są spokrewnione. Po pierwsze, epidemie tych złośliwych programów przeprowadzane są w bardzo podobny sposób – w bardzo krótkim okresie czasu pojawia się duża liczba ich wariantów, przy czym różne warianty pojawiają się w różnych regionach (np. jeden wariant rozprzestrzeniany jest za pomocą spamu w Rosji, kolejny w Europie). Po drugie, mają taką samą funkcjonalność (instalowanie innych modułów ze stron zawierających trojany, zbieranie adresów e-mail, a następnie wysyłanie ich złośliwym użytkownikom). Bagle był pierwszym robakiem, który wykorzystywał technologie wirusowe w celu zdobycia nowych adresów do baz danych spamerów; Warezov stosuje tę samą taktykę. Po trzecie, Warezov pojawił się w ciągu tygodnia po tym jak nowe warianty Bagla przestały się ukazywać. Wydaje się nieprawdopodobne, żeby autorzy Bagla zdecydowali się nagle wycofać z interesu i dokładnie w tym samym czasie inna grupa postanowiła go przejąć; istnieje duże prawdopodobieństwo, że te dwa robaki zostały stworzone przez tą samą grupę. W końcu, Bagle miał ogromny wpływ na całą branżę antywirusową, wymuszając na firmach antywirusowych opracowanie nowych metod ochrony. Wraz z Warezovem pojawiło się nowe wyzwanie: stawienie czoła zaciemnianiu kodu i potrzeba reagowania na nowe warianty w jeszcze krótszym czasie.

Jednak Bagle nie zniknął zupełnie. Chociaż nie pojawiają się nowe wersje, starsze wciąż aktywnie się rozprzestrzeniają. Potwierdza to nasze zestawienie, na którym warianty Bagla zajmują trzecią, szóstą i osiemnastą pozycję.

Innym robakiem stosującym zaciemnianie kodu jest Scano. Analitykom wirusów z firmy Kaspersky Lab udało się kilka miesięcy temu złamać jego polimorficzny silnik skryptowy, jednak Scano nadal się rozprzestrzenia. Chociaż zmodyfikowaliśmy metody tworzenia naszych statystyk, we wrześniu Scano.gen znajdował się na czwartym miejscu, podobnie jak w październiku.

Wygląda na to, że zarówno Warezov, Bagle, jak i Scano zostały stworzone albo w Rosji, albo w państwach byłego Związku Radzieckiego.

W kategorii „ataków phishingowych” prowadzi – podobnie jak w sierpniu -Bankfraud.od. We wrześniu Bankfraud spadł o jedną pozycję, w październiku natomiast o kolejne dwie. Jednak ilość ataków phishingowych nadal rośnie w ruchu pocztowym. W najbliższej przyszłości będziemy prezentować oddzielne dane dotyczące rozpowszechnienia się takich ataków.

Pozostałe szkodniki stanowiły 19,1% wszystkich złośliwych programów przechwyconych w ruchu pocztowym. Świadczy to o tym, że w ruchu pocztowym krąży aktywnie ogromna liczba robaków i trojanów z innych rodzin.
Pełny raport znajduje się w Encyklopedii Wirusów firmy Kaspersky Lab pod adresem http://viruslist.pl/analysis.html?newsid=331.

Źródło: Kaspersky Lab

Udostępnij

marekl